• Twitterでシェア
  • Facebookでシェア

Lessons from React2Shell

テクノロジー カテゴリーの変更を依頼 記事元:dev.to/cheetah100
適切な情報に変更
120users がブックマーク コメント 11
    共有

    • 記事へのコメント11

    • 注目コメント
    • 新着コメント
    その他
    gabill
    スケールのために全てを犠牲にする覚悟のMeta、自社サービスに誘導したいVercel、尖った実験をやりたいReact開発者の3者の思惑が一致したのが今のReactで、今の路線は大半の利用者を幸せにしないんじゃないかと思えてきた。

    その他
    z67kjh
    つまりStruts2みたいに定期的にRCEを起こすってことだろう

    その他
    door-s-dev
    "React Server Components represent a fundamental architectural mistake. Patching one exploit doesn't fix the underlying problem"

    その他
    dorapon2000
    ”The traditional approach of clear separation between frontend and backend, standard protocols like HTTP and JSON, explicit API boundaries might seem old-fashioned but it works. It's secure.“

    その他
    aiueokabe
    RSCのFlightプロトコルはクライアントからの入力を絶対に信用しないという基本原則を守っていない。単純な実装ミスではなくアーキテクチャレベルでの誤りであり、パッチを当てても根本的な解決にはならないという指摘。

    その他
    YassLab
    “The vulnerability wasn't an implementation bug that slipped through code review. It was the predictable consequence of violating a fundamental security principle: complex deserialization of untrusted data leads to remote code execution. If you can't do it perfectly don't do it at all.”

    その他
    manaten
    自分は根本原因はプロトタイプベース言語をサーバーで使ってることなんじゃないかって思ってきてる。RSCは先鋭的なので問題を顕在化させやすかっただけで。チャレンジには言語レベルでのセキュアさが必要なのかなと

    その他
    uehaj
    だから全ファイルに"use client"しろとあれほど

    その他
    door-s-dev
    door-s-dev "React Server Components represent a fundamental architectural mistake. Patching one exploit doesn't fix the underlying problem"

    2025/12/14 リンク

    その他
    z67kjh
    z67kjh つまりStruts2みたいに定期的にRCEを起こすってことだろう

    2025/12/14 リンク

    その他
    mayumayu_nimolove
    つまりどうゆう事だってばよ

    その他
    xsde
    "信頼されないデータの複雑なデシリアライズはリモートコード実行を招く" "JavaScriptロックイン: 適材適所の喪失" // 最後のThe Broader Patternにも手厳しいことが書いてある

    その他
    mkusaka
    ReactのCVE-2025-55182(CVSS 10.0)を題材に、Flightの危険なdeserializationやRSC/‘use server’の問題点を解説。 https://sider.ai/share/8c6c7c675cbc1a25944fa19b6b50647f

    その他
    gabill
    gabill スケールのために全てを犠牲にする覚悟のMeta、自社サービスに誘導したいVercel、尖った実験をやりたいReact開発者の3者の思惑が一致したのが今のReactで、今の路線は大半の利用者を幸せにしないんじゃないかと思えてきた。

    2025/12/14 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Lessons from React2Shell

    DEV Community Follow A space to discuss and keep up software development and manage your software...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2026 Hatena. All Rights Reserved.